フルディスク暗号化を使用してArch Linuxを正常にインストールしましたが、起動時にパスワードの入力を求められないようにパスワードを省略しました。ただし、まだパスワードの入力を求められますので、Enterキーを押すだけです。
まず、これは良いアイデアですか?
ドライブが暗号化され、復号化されたパスワードを持たないBitlockerのようなものが必要です。
ベストアンサー1
これはがっかりするのが難しいトピックであり、セットアップ方法に関する明確な段階的なガイドを提供できるかどうかはわかりません。しかし、この質問は3年が経ち、まだ良い答えがないことを考慮して概要をお知らせします。
空の暗号化パスワードでドライブを暗号化するのは良い考えですか?
いいえ。
他の人が述べたように、唯一の実際のユースケースは、データを非常に迅速に読み取ることができないようにすることです。しかし、暗号化の目的ではまったく機能しません。これは、まるで巨大なハイテクな金庫室のドアを設置し、前面にテープで貼ったメモにパスワードを残すのと同じです。どんなに厚いドアでも誰でも入ることができます。
これは良い考えではありません。
ビットロックはどうですか?
Bitlockerにはパスワードがあるか、むしろキーがあります。このキーはマザーボードに保存されています。完全な生産管理。コンピュータからハードドライブを取り出して別のコンピュータに挿入すると、データを読み取ることができません。
さらに、TPMは「封印」されているため、起動順序が改ざんされても暗号化キーは提供されません。したがって、攻撃者はTPMをだましてキーを発行するようにコンピュータの暗号化されていないスタートアップコードを操作できません。
LinuxでTPMを使用するには?
最初理解する時間を取るTPMとは何ですか?PCRとは何ですか?特に各PRCは何を測定しますか?(保護する)。
PCRの選択に応じて、キーをシールするようにTPMを設定できます。攻撃者が起動順序を変更しないように起動順序を理解し、正しいPCRを使用していることを確認するのはユーザーの責任です。
⚠️警告する⚠️正しいPCRで起動順序を正しく保護しないと、攻撃者は簡単にルートパスワードをリセットしてくださいその後、すべてのデータを読みます。あなたは警告を受けました!
第二、自分がしていることについて確信ができれば次のことが使えます。systemd-cryptenrollLUKSパーティションに新しいキーを追加し、同じキーをシステムTPMに含めます。
使用するPCRによっては、新しいカーネルをインストールしたり、grubを更新したり、initramfsを更新したりするたびにこれを行う必要があるかもしれません。
第三これにより、キーの再登録を避けることができます。すべての grub ファイルに署名そして、公開鍵をEFIのグラップスタブに含めます。理論的には、これにより少数のPCRが含まれ、署名を使用してグルーブ構成を保護できます。
TPMは完璧ですか?
いいえ
攻撃者がマザーボードからTPMを削除したり、プローブを接続したりできる場合は、システムの起動時に銅線から直接キーを読み取ることができます。簡単だと言うわけではありませんが、TPMが完全に堅牢ではないことに注意してください。
TPMの使用の代替
キーをファイルに別々に保存できます。例:最も安全ではない方法は、キーファイルを含むUSBドライブをキーチェーンに置き、ラップトップに接続しながら接続することです。
さらに安全なのは、専用のスマートカードデバイス(例:ユビキ)はあなたの鍵を安全に保管し、絶対に開示しないことがあります。スマートカード自体が一部のコンテンツの復号化を行います。この部分は私が個人的に多く調べたことがないので、これ以上のアドバイスを簡単にお届けできない部分です。